BGYS ve PUKÖ (PDCA) Döngüsü

ISO 27001 ve BGYS

👤 Güvenlik Uzmanı★ 2/3⏱ 12 dk

İnteraktif sahne yükleniyor…

🎯 Neden önemli?

Dünyada her yıl binlerce kuruluş veri ihlali yaşıyor; IBM'in 2023 raporuna göre bir ihlalin küresel ortalama maliyeti 4,45 milyon dolara ulaştı. Bir defalık "güvenlik projesi" ile değil, sürekli dönen bir yönetim sistemiyle korunursunuz: işte BGYS ve PUKÖ döngüsü.

Giriş

Merhaba, ben Güvenlik Uzmanı. Bu derste ISO/IEC 27001:2022 standardının kalbi olan Bilgi Güvenliği Yönetim Sistemi'ni (BGYS / ISMS) ve onu canlı tutan PUKÖ — Planla-Uygula-Kontrol-Önlem-Al (PDCA) — döngüsünü öğreniyoruz. Soldaki interaktif sahnede (secIncidentResponse3D) bir güvenlik olayının nasıl tespit edilip ele alındığını ve döngünün "Kontrol Et" ile "Önlem Al" aşamalarına nasıl beslendiğini adım adım incele.

Anlatım

BGYS (BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ) NEDİR? BGYS, kuruluşun bilgi varlıklarını korumak için kurduğu; politikalar, süreçler, prosedürler, roller ve teknik kontrollerden oluşan SİSTEMATİK ve YÖNETİLEN bir çerçevedir. ISO/IEC 27001:2022 standardı bu sistemin kurulması, işletilmesi, izlenmesi ve sürekli iyileştirilmesi için zorunlu şartları (madde 4-10) tanımlar. Amacı bilginin üç temel niteliğini korumaktır: GİZLİLİK (yalnız yetkili erişim), BÜTÜNLÜK (verinin doğru ve değişmemiş kalması) ve ERİŞİLEBİLİRLİK (yetkilinin ihtiyaç anında ulaşabilmesi) — kısaca CIA üçlüsü. NEDEN ÖNEMLİ? • Güvenlik tek seferlik bir kurulum DEĞİL, yaşayan bir süreçtir; tehditler ve iş ortamı sürekli değişir. • BGYS, kararları "sezgiyle" değil RİSK TEMELLİ alır: önce riski ölç, sonra orantılı kontrol uygula. • Yönetimin sahipliğini (madde 5 — Liderlik) ve hesap verebilirliği kurumsallaştırır. • Müşteri, iş ortağı ve düzenleyiciler karşısında kanıtlanabilir güven sağlar (sertifikasyon). PUKÖ (PDCA) DÖNGÜSÜ — BGYS'İN MOTORU BGYS, Deming'in sürekli iyileştirme döngüsüyle yaşar. Dört aşama tekrar tekrar döner: 1) PLANLA (Plan) - Kapsamı ve bağlamı belirle (ISO 27001 md.4). - Varlıkları envantere al, RİSK DEĞERLENDİRMESİ ve RİSK İŞLEME planı yap (md.6). - Hedefleri, politikayı ve uygulanabilirlik bildirgesini (SoA — Statement of Applicability) hazırla. - Annex A kontrollerinden hangilerinin uygulanacağını gerekçesiyle seç. 2) UYGULA (Do) - Seçilen kontrolleri hayata geçir; kaynak, yetkinlik ve farkındalık sağla (md.7). - Süreçleri işlet, kayıt tut (md.8). - Örnek kontroller: erişim yönetimi, şifreleme, yedekleme, tedarikçi güvenliği, farkındalık eğitimi. 3) KONTROL ET (Check) - İzle, ölç, analiz et; iç tetkik ve YÖNETİMİN GÖZDEN GEÇİRMESİ yap (md.9). - Olayları, metrikleri (KPI), uygunsuzlukları topla; hedefe ulaşıldı mı değerlendir. - Güvenlik olaylarından alınan dersler bu aşamada analiz edilir. 4) ÖNLEM AL (Act) - DÜZELTİCİ FAALİYET başlat, kök neden analizi yap, kontrolleri güncelle (md.10). - Sürekli iyileştirmeyi besle; öğrenilenleri tekrar PLANLA aşamasına taşı — döngü kapanır ve yeniden başlar. ISO 27001:2022 ANNEX A YAPISI Güncel sürümde Annex A 93 kontrol içerir ve 4 temaya ayrılır: A.5 Örgütsel (37 kontrol) · A.6 İnsan kaynaklı (8) · A.7 Fiziksel (14) · A.8 Teknolojik (34). DÖNGÜYE BAĞLANTI: Hangi kontrolün uygulanacağı PLANLA aşamasındaki risk değerlendirmesiyle belirlenir; etkinliği KONTROL ET aşamasında ölçülür. İŞ YERİNDE NE YAPMALI / NE YAPMAMALI ✔ YAPILMASI GEREKENLER: • Politikaları oku ve uygula; risk sahibi olduğun varlıkları bil. • Şüpheli durumu (oltalama e-postası, kayıp cihaz, yetkisiz erişim) DERHAL olay bildirim kanalına raporla — bu "Kontrol Et" aşamasının gözüdür. • Düzeltici faaliyetlere ve iç tetkiklere dürüst katkı ver. ✘ YAPILMAMASI GEREKENLER: • Güvenliği yalnız BT departmanının işi sanmak (BGYS tüm çalışanların sorumluluğudur). • Olayı "başım derde girmesin" diye gizlemek (gizlenen olay döngüyü kör eder, ihlali büyütür). • Kontrolleri belgede bırakıp uygulamamak ("kâğıt üstünde uyumluluk" gerçek güvenlik değildir). KVKK İLE BAĞLANTI KVKK madde 12, veri sorumlusunun kişisel veriyi korumak için "uygun güvenlik düzeyini sağlamaya yönelik gerekli her türlü TEKNİK ve İDARİ tedbiri" almasını ister. BGYS, bu yükümlülüğü sistematik ve denetlenebilir biçimde yerine getirmenin en güçlü yoludur; PUKÖ döngüsü tedbirlerin "alındı ve sürekli güncel tutuluyor" olduğunu kanıtlar. KVKK'nın veri ihlali bildirimi (Kurul'a 72 saat içinde) gerekliliği de doğrudan "Kontrol Et → Önlem Al" aşamalarıyla işler. NIST Cybersecurity Framework'ün Identify-Protect-Detect-Respond-Recover fonksiyonları da aynı sürekli iyileştirme mantığını yansıtır.

📌 Senaryolar

📌 Senaryo 1 (PLANLA — risk önce gelir): Şirketin yeni bir bulut İK uygulaması alacak; departman "hemen kuralım" diyor.
  Doğru davranış: Kuruluma geçmeden bilgi güvenliği ekibinden risk değerlendirmesi ve tedarikçi güvenlik incelemesi (ISO 27001 Annex A.5.19 tedarikçi ilişkileri) talep et; uygulanacak kontroller SoA'ya işlensin.
  Sonuç/Neden: PUKÖ'nün PLANLA aşaması atlanırsa risk görülmeden kontrol seçilemez; sonradan keşfedilen açık hem maliyetli hem de KVKK md.12 ihlali riski taşır.

📌 Senaryo 2 (UYGULA — kontrol kâğıtta kalmamalı): Politika "tüm dizüstüler şifrelenmeli" diyor ama yeni gelen cihazların yarısı şifrelenmemiş.
  Doğru davranış: Cihazı kullanmadan önce disk şifrelemenin (Annex A.8.24 kriptografi) aktif olduğunu doğrula; eksikse BT'ye kur talebi aç ve kayıt altına al.
  Sonuç/Neden: UYGULA aşaması, planlanan kontrolün gerçekten işlediğini gösterir; uygulanmayan kontrol sahte bir güven yaratır ve kayıp cihazda veri sızıntısına yol açar.

📌 Senaryo 3 (KONTROL ET — olayı raporlamak gözdür): Sabah gelen "şifreniz doldu, hemen yenileyin" e-postasındaki bağlantıya neredeyse tıklayacaktın, oltalama olduğunu fark ettin.
  Doğru davranış: Bağlantıya tıklama; e-postayı sil yerine kurumun güvenlik olay bildirim kanalına (phishing report) ilet. Tıkladıysan da derhal bildir.
  Sonuç/Neden: Olay bildirimleri KONTROL ET aşamasının verisidir (Annex A.5.24/5.25 olay yönetimi); tek bir rapor, aynı kampanyanın yüzlerce çalışana ulaşmasını engelleyen Önlem Al adımını tetikler.

📌 Senaryo 4 (ÖNLEM AL — kök neden, suçlu değil): İç tetkik, paylaşılan bir klasörde maaş bordrolarına tüm şirketin erişebildiğini buldu.
  Doğru davranış: Erişimi derhal en az yetki ilkesine göre daralt (Annex A.5.15 erişim kontrolü), kök nedeni analiz et (yetki incelemesi yapılmamış), süreci düzelt ve benzer klasörleri tara; bulguyu yönetimin gözden geçirmesine taşı.
  Sonuç/Neden: ÖNLEM AL aşaması tekil düzeltmeyle yetinmez, kök nedeni gidererek aynı hatanın tekrarını önler ve öğrenileni PLANLA'ya geri besler — döngü böyle kapanır.

📌 Senaryo 5 (Tüm döngü — sürekli iyileştirme): Geçen çeyrek yaşanan fidye yazılımı olayından sonra yönetim "bir daha olmasın" diyor.
  Doğru davranış: Olaydan çıkarılan dersleri (yedeklerin çevrimdışı tutulmaması) yeni risk değerlendirmesine ekle (PLANLA), çevrimdışı yedek ve segmentasyon kur (UYGULA), geri yükleme tatbikatıyla ölç (KONTROL ET), eksikleri düzelt (ÖNLEM AL).
  Sonuç/Neden: BGYS bir olayı tek seferlik kriz olarak değil, döngüyü güçlendiren girdi olarak görür; PUKÖ sayesinde kuruluşun olgunluğu her turda artar.

Özet

• BGYS = bilgi varlıklarını koruyan, yönetilen sistematik çerçeve; amacı gizlilik-bütünlük-erişilebilirlik (CIA). • ISO/IEC 27001:2022 BGYS'in zorunlu şartlarını (md.4-10) tanımlar; Annex A 93 kontrol / 4 tema. • PUKÖ (PDCA): Planla → Uygula → Kontrol Et → Önlem Al; döngü kapanır ve sürekli iyileştirmeyle yeniden başlar. • Güvenlik tek seferlik proje değil, yaşayan ve risk-temelli bir süreçtir; sorumluluk tüm çalışanlarındır. • Olay raporlamak (Kontrol Et) ve kök neden gidermek (Önlem Al) döngünün en kritik insan adımlarıdır. • KVKK md.12 teknik+idari tedbir yükümlülüğü ve veri ihlali bildirimi doğrudan BGYS/PUKÖ ile karşılanır.

✅ Mini-Test (5)

1.BGYS (Bilgi Güvenliği Yönetim Sistemi) en doğru biçimde nasıl tanımlanır?

2.PUKÖ (PDCA) döngüsünün aşamaları doğru sırayla hangisidir?

3.Bir güvenlik olayını fark eden çalışan, PUKÖ döngüsünün hangi aşamasını besleyen kritik adımı atar?

4.ISO 27001'e göre bilgi güvenliği yalnızca BT departmanının sorumluluğundadır.

5.Bilgi güvenliğinin korumayı hedeflediği üç temel nitelik (CIA) hangisidir?

🧩 Uygulama Soruları (5)

1.Departmanınız yeni bir bulut yazılımını hemen devreye almak istiyor. Bilgi güvenliği açısından İLK yapılması gereken nedir?

2."Şifreniz doldu, hemen şu bağlantıdan yenileyin" diyen şüpheli bir e-posta aldınız. En doğru davranış hangisidir?

3.İç tetkik, maaş bordrolarına tüm şirketin erişebildiği bir paylaşımlı klasör buldu. ÖNLEM AL aşamasında doğru yaklaşım nedir?

4.Bir güvenlik olayını başınız derde girmesin diye raporlamadan gizlemek doğru bir davranıştır.

5.Geçen çeyrek fidye yazılımı saldırısı yaşandı. BGYS'i olgunlaştıran en doğru tepki hangisidir?

← ISO 27001 Nedir, Neden Önemli?Annex A Kontrol Alanları →

← Tüm modüllere dön · Güvenlik Sözlüğü